Announcement

Collapse
No announcement yet.

Signatur für Ursprung einer Datei???

Collapse
X
Collapse
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Signatur für Ursprung einer Datei???

    Hallo zusammen,

    ich wollte mal fragen, ob es eine Möglichkeit gibt, einer Datei (z.B. eine DLL) eine Signatur mitzugeben, mit der andere Programme (z.B. Anti-Viren-Programme) erkennen können, welchen Ursprung sie besitzen.

    Der konkrete Fall würde dann so aussehn:
    - Ein Benutzer installiert ein Programm durch eine *.msi-Datei
    - Diese *.msi-Datei erstellt bei der Installation eine DLL-Datei (z.B. vnchook.dll)
    - Viele Firewalls/Anti-Viren-Programme stufen diese DLL als gefährlich ein (z.B. weil über sie ein VNC-Zugriff erfolgen kann)
    - Durch die Signatur der DLL wird aber klar, dass diese DLL keine Schadsoftware ist sondern von einem vertrauenswürdigen Hersteller erzeugt wurde
    - Die Einstufung wird zurückgesetzt

    Mir ist natürlich bewusst, dass es unzählige Trojaner gibt, die diese vnchook.dll auch mitliefern.
    Allerdings ist es als Hersteller von Software, die eine VNC-Funktion (als HelpDesk) beinhaltet, äußerst aufwendig, dass der VNC-Zugriff von Firewalls von Haus aus geblockt wird.
    Es ist dann jedesmal nötig mit dem Kunden zu telefonieren und ihm zu beschreiben, wie er das Programm/DLL in die Ausnahmeliste seiner Firewall eintragen kann.
    Tags: help desk, signatur, vnchook.dll
  • #2
    Wovon ist den die Rede? Davon, dass Virenscanner die Datei nicht melden? Davon dass das Programm durch eine Firewall will? Das sind Unterschiedliche Dinge. Davon abgesehen gibt es bisher kein Virenhersteller/Firewall der dig. Signaturen bsp. über Verisign prüft.
    Christian

    Comment

    • #3
      Aufhebung

      Eigentlich geht es mir nur darum, die Firewall/Virenprogramm daran zu hindern, die DLL als bösartig einzustufen.
      Die Datei, die von einem Trojaner versendet wird hat doch sicherlich eine andere Signatur als die ursprüngliche Datei.

      Comment

      • #4
        Und wer sollte das pflegen? Wer sollte die akt. Signatur kennen, wenn der Hersteller Änderungen macht? Wie lange sollte eine Virenprüfung dann dauern? Nur noch Online möglich?
        Christian

        Comment

        • #5
          Blacklist?

          Meines Wissens nach ist es doch für die meisten Virenprogramme üblich, sich nach einer Blacklist zu richten, oder?
          Das bedeutet, dass nur die Dateien als bösartig eingestuft werden, deren Signatur sich in der Datenbank der Antivirenprogramm-Anbieter befinden.
          Sollte sich also die Signatur der Datei eines seriösen Herstellers ändern, müsste der Virenprogramm-Betreiber nichts davon wissen.

          Oder spielen außer der Signatur noch andere Faktoren eine Rolle?

          Comment

          • #6
            Dateien als bösartig eingestuft werden, deren Signatur sich in der Datenbank der Antivirenprogramm-Anbieter befinden.
            Nein

            a) es sind die Signaturen der Viren in der DB. Wird diese in der zu untersuchenden Datei gefunden, so gilt diese als infiziert.

            b) nutzen Virenscanner heuristische Erkennungen um "neue" Viren zu finden

            c) bleibt die Frage bestehen: Wird deine vnchook.dll durch einen Virenscanner geblockt oder kommst du nicht durch eine Firewall. Letzteres hat überhaupt nichts mit irgendwelchen Signaturen o.a. zu tun. Firewalls pflegen keine Liste von Dateien die gut oder böse sind. Sie lassen einen Zugriff Protokoll/Port zu oder nicht. Und ich könnte mir jetzt keinen einfachen Weg vorstellen automatisch irgendwelchen neuen Dateien auf einem Rechner gleich Berechtigungen einzuräumen. Das würde nur über einen Abgleich über eine Trustcenter funktionieren
            Christian

            Comment

            • #7
              Originally posted by Christian Marquardt View Post
              bleibt die Frage bestehen: Wird deine vnchook.dll durch einen Virenscanner geblockt oder kommst du nicht durch eine Firewall.
              Bei den Internet-Security-Suiten, die heute in Privathaushalten zum Einsatz kommen, geht das eine mit dem anderen ja einher.

              Ich frage mich nur, warum es keine Zertifizierungen für Datein von bekannten Open-Source-Projekten gibt. Die Security-Firmen machen es sich doch sehr leicht eine Datei, die auch von Malware verwendet werden kann, grundsätzlich zu sperren, auch wenn sie keine Signatur eines Virus enthält.

              Comment

              • #8
                Bei den Internet-Security-Suiten, die heute in Privathaushalten zum Einsatz kommen, geht das eine mit dem anderen ja einher.
                nunja, auf den Rechnern hier läuft keine Firewall, diese läuft zentral.
                Wie würde man "Hardware"-Firewalls in Routern (SMC, Fritzbox u.a.) so etwas beibringen?


                Ich frage mich nur, warum es keine Zertifizierungen für Datein von bekannten Open-Source-Projekten gibt.
                Rufe doch ein entsprechendes Projekt aus...
                Christian

                Comment

                • #9
                  Originally posted by Christian Marquardt View Post
                  Rufe doch ein entsprechendes Projekt aus...
                  Wäre natürlich eine Überlegung wert. Allerdings scheint diese Problem zumindest bei Projekten wie UltraVNC nicht auf offene Ohren zu stoßen. Die scheinen sich schon damit abgefunden zu haben:

                  http://forum.ultravnc.info/viewtopic.php?p=67830#67830

                  Ich werde mich nun mal an Kaspersky & Co wenden. Vielleicht ergibt sich ja doch noch eine Lösung.

                  Danke für Deine Hilfe.

                  Greets
                  Gooner85

                  Comment

                  Previous template Next
                  Working...
                  X